《基于时间的ACLs应用》由会员分享,可在线阅读,更多相关《基于时间的ACLs应用(5页珍藏版)》请在金锄头文库上搜索。
1、基于时间的acl1.目的在下班时间允许指定的ip地址无限制上网,即做nat2.步骤2.1定义个时间段,在acl中会使用到这个时间段ciscoasa(config)# time-range tr1ciscoasa(config-time-range)# ?Time range configuration commands:absolute absolute time and dateexit Exit from time-range configuration modehelp Help for time-range configuration commandsno Negate a comma
2、nd or set its defaultsperiodic periodic time and dateciscoasa(config-time-range)# periodic ?trange mode commands/options:Friday FridayMonday MondaySaturday SaturdaySunday SundayThursday ThursdayTuesday TuesdayWednesday Wednesdaydaily Every day of the weekweekdays Monday thru Fridayweekend Saturday a
3、nd Sundayciscoasa(config-time-range)# periodic weekdays ?trange mode commands/options:hh:mm Starting timeciscoasa(config-time-range)# periodic weekdays 17:15 ?trange mode commands/options:to ending day and timeciscoasa(config-time-range)# periodic weekdays 17:15 to 20:00 (这个时间段是指每天的17:15到20:00)(如果是想
4、定义一个固定的时间段,就要把periodic关键字换成关键字absolute)这里要注意一个问题:1. absolute语句的使用:在使用absolute命令时,如果读者去掉了start或end日期,则当去掉开始日期时,与之相联系的permit或deny语句会立即产生作用;而当去掉的是结束日期时,则与之相联系的permit或deny语句会永远产生作用。这些情形可能都不是我们所希望的。因此,每一条语句的格式,以及每一个变量的输入方式都十分重要。为了说明absolute命令的使用方式,假设我们只在5:00 p.m.到7:00 a.m.之间允许HTTP流量,则可以使用absolute语句建立下面的时
5、间范围:absolute start 17:00 end 07:00在本示例中,时间范围为每一天的5:00 p.m.到7:00 a.m.,除此之外没有其他的限制。这样,除非手工删除,该时间范围将一直保持有效。absolute语句只拥有开始和结束时间以及日期等少数几个参数。absolute命令的应用:现在我们假设这样一种情况:读者计划去度假,因此希望在7月1 9日的早上7 : 0 0自动删除时间范围产生的效果,而不用回到办公室去做这件工作。假设今天是6月1日,而读者希望该语句在下午5 : 0 0产生作用。则absolute语句将变成:absolute start 17:00 1 june 200
6、0 end 07:00 19 july 20002.periodic语句的使用:一个时间范围 它可以有多个periodic语句,periodic语句允许使用大量的参数,其范围可以是一星期中的某一天、几天的结合,或者使用关键字Daily、Weekday和Weekdend等。表5 - 1列出了在periodic语句中可以使用的每星期中天数的参数。参数 意义Monday, Tuesday, Wednesday, Thursday, Friday, Saturday, Sunday 某一天或某几天的结合Daily 从星期一到星期天Weekday 从星期一到星期五Weekend 星期六和星期日Perio
7、dic参数的应用:假设我们希望在周末(从星期六早上7:00到星期天晚上7:00)限制Web访问:periodic weedend 07:00 to 19:00注意,因为关键字weekend表示星期六和星期日,所以只要再指定开始时间和结束时间就可以了; 假设读者要指定从8:00 a.m.到5:00 p.m.(星期一到星期五)的时间范围:periodic weekday 8:00 to 17:00假设我们希望指定从7:00 a.m.到5:00 p.m.(一周中的每一天)的时间范围:periodic daily 7:00 to 17:00假设这样一种情形:时间范围为从星期六晚上5:00开始,结束于星
8、期一的早上7:00:periodic weekend 17:00 to 24:00periodic monday 00:00 to monday 7:00或:periodic staurday 17:00 to monday 7:00尽管可以使用单个periodic语句作为多个periodic语句的替代语句,但只有时间段连续时才可以如此使用。例如,假设我们要在每个工作日的晚上11:00到午夜,以及在周末中,从星期六早上7:00到星期天的晚上8:00阻塞对Web服务器的访问。在这种情况下,我们就要使用多个periodic语句。另外一个注意事项是在一个time -范围命令中同时使用absolute
9、和periodic语句。在这种情况下,只有在匹配绝对开始时间之后才匹配periodic语句。而且,如果已经超过了绝对结束时间,则periodic语句就不再进一步匹配。为了说明这个概念,假设要指定的时间范围为从星期六的早上8:00到星期日的下午5:00,日期为2000年6月1日到2000年的12月31日。要建立这样的时间段,首先要使用absolute语句来定义开始和结束日期。然后使用periodic语句来定义前面提到的周末时间段。这样, time-范围命令和absolute、periodic语句将如下所示:time-range allow-httpabsolute start 8:00 1 ju
10、ne 2000 end 17:00 31 december 2000periodic weekends 8:00 to 17:002.2定义个允许ip地址访问公网的aclciscoasa(config)# access-list acl_wmv extended permit ip host 192.168.1.127 any time-range tr12.3将这个acl应用到nat上ciscoasa(config)#nat (inside) 1 access-list acl_wmv基于时间的ACLs应用例:在每周工作时间段内禁止HTTP的数据流步骤如下:Switch# configure
11、 terminal!进入全局配置模式Switch(config)# time-range no-http!进入一个time-range名为no-http的配置模块Switch(config-time-range)# periodic weekdays 8:00 to 18:00!设置周期时间.这里指每周的星期一到星期五Switch(config-time-range)# exit!退回到上一级.即全局配置模式Switch(config)# ip access-list extended limit_udp!设置一个ACL名,并且进入这个ACL配置模块Switch(config-ext-nacl
12、)# deny tcp any any eq www time-range no-http!在no-http这个周期时间内禁止所有的HTTP的数据流Switch(config)# interface fastEthernet 0/2!进入需要应用此ACL的接口Switch(config-if)# ip access-group limit_udp in!应用limit_udp限制Switch# show time-range!显示time-rangtime-range name: no-httpperiodic Weekdays 8:00 to 18:00Switch# show runnin
13、g-config!显示当前配置Building configuration.Current configuration : 669 bytes!version 1.0!no enable services web-serverhostname Switchvlan 1!ip access-list extended limit_udp deny tcp any any eq www time-range no-http!interface fastEthernet 0/2 ip access-group limit_udp in!interface vlan 1 no shutdown ip
14、address 192.168.26.38 255.255.255.0!ip default-gateway 192.168.26.10snmp-server community public rotime-range no-http periodic Weekdays 8:00 to 18:00!end例: 一、网络环境1、172.24.9.*是机房所有学生机;其他地址是校内地址;2、机房接入端交换机级联在2126G上,2126G通过光缆接入校园网;二、意图1、在time-range 101所定义的时间段内,拒绝所有源地址为172.24.9.*机器访问除上述校内地址列表以外的所有目的地址;2、在time-range 101所定义的时间段外,允许所有源地址为172.24.9.*机器访问任何地址;show runip access-list extended 101 permit ip 172.24.9.0 0.0.0.255 172.24.9.0 0.0.0.255 time-range 101 permit ip 172.2